対称と非対称についてCMKs - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

対称と非対称についてCMKs

AWS KMSでは、対称および非対称 を作成できますCMKs。

対称カスタマーマスターキー

カスタマーマスターキーKMS で (CMK) を作成すると、デフォルトでは、対称 が取得されますCMK。

AWS KMSでは、対称CMKは 256 ビットの暗号化キーを表し、 が暗号化AWS KMSされないままになることはありません。対称 を使用するには、 CMK を呼び出す必要がありますAWS KMS。対称キーは対称暗号化で使用され、同じキーが暗号化と復号に使用されます。

タスクで非対称暗号化が明示的に必要でない限り、暗号化CMKsされないままにすることがない対称暗号化は、優れた選択です。AWS KMS対称 の暗号化設定またはCMKsキー仕様については、「SYMMETRIC_DEFAULT キー仕様」を参照してください対称 の作成については、「」を参照してくださいCMK。対称の作成CMKs

AWS KMS と統合された AWS のサービスは、対称 CMK を使用してデータを暗号化します。これらのサービスは、非対称 CMK を使用した暗号化をサポートしていません。 CMK が対称か非対称かを判断する方法については、「対称と非対称の識別CMKs」を参照してください。

CMKで対称を使用して、データの暗号化、復号、再暗号化、データキーとデータキーペアの生成、およびランダムバイト文字列の生成を行うことができます。AWS KMS独自のキーマテリアルを対称にインポートCMKし、CMKsカスタムキーストアで対称を作成できます。対称 と非対称 で実行できるオペレーションを比較した表は、「対称と非対称 CMKs の比較」を参照してくださいCMKs。

非対称カスタマーマスターキー

注記

非対称 CMK と非対称データキーペアは、中国 (北京) および 中国 (寧夏) を除く、AWS KMS がサポートされるすべての AWS リージョンでサポートされます。

CMKで非対称を作成できますAWS KMS。非対称CMKは、数学的に関連するパブリックキーとプライベートキーのペアを表します。パブリックキーは、たとえ信頼されていなくても、誰にでも渡すことができますが、シークレットキーは秘密にしておく必要があります。

非対称 では、プライベートキーが CMK に作成され、 が暗号化AWS KMSされないままになることはありません。AWS KMSプライベートキーを使用するには、AWS KMS を呼び出す必要があります。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用できます。または、パブリックキーをダウンロードし、AWS KMS の外部で使用することもできます。

を呼び出しできないユーザーAWSによって の外部で暗号化が必要なユースケースの場合は、非対称AWS KMSが適しています。CMKsただし、 CMK サービスに保存または管理するデータを暗号化AWSする を作成する場合は、対称 を使用しますCMK。AWS KMS と統合された AWS のサービスは、対称 CMK を使用してデータを暗号化します。これらのサービスは、非対称 CMK を使用した暗号化をサポートしていません。

AWS KMSは、2 種類の非対称 をサポートしますCMKs。

  • RSACMKs: 暗号化と復号、または署名と検証 (両方ではない) のための RSA キーペアCMKを持つ 。KMS では、さまざまなセキュリティ要件に対応して、複数のキーの長さがサポートされています。

  • 楕円曲線 (ECC) CMKs : 署名と検証のための楕円曲線キーペアCMKを持つ 。KMS では、一般的に使用される複数の曲線がサポートされています。

が RSA AWS KMS 用にCMKsサポートする暗号化および署名アルゴリズムの技術的な詳細については、「RSA キー仕様」を参照してください。ECC 用に AWS KMS がCMKsサポートする署名アルゴリズムの技術的な詳細については、「楕円曲線キーの仕様」を参照してください

対称 と非対称 で実行できるオペレーションを比較した表は、「対称と非対称 CMKs の比較」を参照してくださいCMKs。CMKが対称か非対称かを判断する方法については、「」を参照してください対称と非対称の識別CMKs